Hay una variedad de estafas en las que los atacantes piratean los sistemas de correo electrónico de una empresa o cree plantillas de correo electrónico engañosas para convencer a los empleados de que transfieran dinero a cuentas bancarias fraudulentas. Generalmente se describe como Compromiso de correo electrónico comercial (BEC), que incluye phishing, llamadas telefónicas depredadoras o robo de datos en general.
Estos ataques basados en correo electrónico se consideran algunos de los delitos cibernéticos más costosos financieramente en términos de daños infligidos. De acuerdo con la FBIEn 19,369, se registraron 2020 quejas de ataques basados en correo electrónico, lo que representa una asombrosa pérdida total de 1.8 millones de dólares.
SSL.com proporciona una amplia variedad de SSL /TLS certificados de servidor para sitios web HTTPS.
¿Cómo funcionan los ataques basados en correo electrónico?
Un estafador de BEC puede utilizar cualquiera de las siguientes tácticas:
Suplantar sitios web o cuentas de correo electrónico
Un pirata informático de BEC sabe que los empleados no examinan cada letra de la dirección de correo electrónico del remitente si el mensaje es convincente y el remitente es un socio de transacciones conocido como un proveedor. La dirección de correo electrónico del remitente podría ser algo como johndoe@ejemplo.com pero el hacker lo cambiará hábilmente a jhondoe@ejemplo.com.
Correos electrónicos de phishing
Mensajes de phishing apuntar a miembros específicos e importantes de la empresa para engañar a las víctimas para que divulguen información confidencial (como contraseñas de las cuentas de la empresa y otros activos) a los piratas informáticos.
Envío de llamadas telefónicas y mensajes
Si bien no se basa completamente en el correo electrónico, quienes usan mensajes de phishing u otras tácticas de correo electrónico depredadoras también han operado mediante llamadas móviles, mensajes de texto y correo de voz. En esta táctica, la víctima es contactada por un funcionario de la empresa que le da instrucciones para una transferencia de dinero o documentos. También se sabe que los atacantes de BEC utilizan tecnología falsa profunda para hacerse pasar por ejecutivos de la empresa en llamadas telefónicas y mensajes de correo de voz. Esto es lo que le sucedió en 2019 a un ejecutivo de una empresa en el Reino Unido cuando los atacantes fingieron ser su jefe y le ordenaron que transfiriera dinero a un proveedor húngaro. Los delincuentes se salieron con 220,000 euros.
¿Cuáles son ejemplos destacados de compromiso de correo electrónico empresarial?
Los ciberdelincuentes han implementado con éxito cualquiera de los siguientes tipos de Compromiso de correo electrónico comercial o una combinación de ellos.
Fraude de CEO
En este tipo de Compromiso de Correo Electrónico Empresarial, los ciberdelincuentes se hacen pasar por el alto ejecutivo y envían un correo electrónico a un empleado de la división financiera de la empresa, indicando que se transfiera dinero a la cuenta del atacante.
Compromiso de la cuenta
La cuenta de correo electrónico de un empleado de la empresa es pirateada y se utiliza para solicitar pagos de facturas a clientes o clientes. La información de la factura fraudulenta se manipula para dirigir los pagos a una cuenta que es propiedad del atacante BEC.
Suplantación de abogado
El atacante se hace pasar por el abogado de la empresa, ya sea por correo electrónico o por teléfono, y solicita a un empleado que transfiera fondos en nombre de la empresa o con la aprobación del director ejecutivo. Las víctimas objetivo suelen ser empleados de nivel inferior que no tienen la autoridad o la conciencia para validar tal solicitud. Los estafadores astutos de BEC suelen llevar a cabo esta táctica antes de un fin de semana o de un largo receso de vacaciones cuando se presiona a los empleados para que terminen el trabajo.
Robo de datos
Los empleados del departamento de Recursos Humanos o Contabilidad son los objetivos habituales de este ataque. Los ciberdelincuentes se esfuerzan por engañar a los empleados para que divulguen información confidencial o crítica propiedad de la empresa. Si estos datos se obtienen con éxito, los atacantes pueden venderlos a los competidores comerciales de la víctima y a la Dark Web, o utilizarlos como accesorios para otros tipos de esquemas de BEC, como el fraude del CEO.
Esquema de factura falsa
En esta estafa, los ciberdelincuentes se hacen pasar por los proveedores o prestadores de servicios de la empresa. Envían correos electrónicos engañosos al empleado de la empresa objetivo solicitando el pago por los servicios prestados o los suministros vendidos. Luego se engaña al empleado para que envíe dinero a una cuenta fraudulenta.
¿Cómo puede SSL.com proteger a su empresa del compromiso del correo electrónico comercial?
Una de las principales razones por las que BEC es una estafa tan efectiva es que se aprovecha de las tendencias humanas: distracción o presión en el trabajo y ser influenciado por la autoridad. En un entorno de trabajo donde se requiere eficiencia, el cerebro humano tiende a pensar de forma heurística, especialmente cuando se trata de patrones familiares. Capacitar a los empleados para que estén más atentos puede ayudar, pero no hay una garantía total. Y con el auge de la tecnología artificial que puede imitar los patrones del habla humana, los correos electrónicos fraudulentos pueden reforzarse. Lo que se necesita son métodos completos que puedan conducir a una mejor ciberseguridad. Aquí es donde SSL.com puede ayudar a su empresa.
Asegurar su sistema de correo electrónico con S/MIME
Extensiones seguras / multipropósito de correo de Internet (S/MIME) es una herramienta basada en cifrado asimétrico e infraestructura de clave pública (PKI) que encripta y autentica fuertemente
mensajes de correo electrónico, lo que demuestra la identidad de la fuente del correo electrónico.
Nuestro S/MIME El servicio evita eficazmente que Business Email Compromise victimice a los empleados de la empresa al fomentar un protocolo que establece que los correos electrónicos con los nombres de ejecutivos, colegas y proveedores de servicios solo serán entretenidos si tienen un S/MIME certificado firmado y validado por nosotros. Si a los empleados se les envía un correo electrónico que dice ser de alguien en el jefe de la empresa, pero no está firmado digitalmente, entonces se les puede indicar que no respondan y, en su lugar, lo informen al departamento de TI para una determinación de expertos. Este protocolo permite que incluso el empleado más cansado o que se distrae fácilmente cometa errores graves.
Firma de documentos
Cuando se trata de lidiar con el compromiso de la cuenta, nuestro servicio de firma de documentos muestra su valor por Brindando seguridad a sus clientes y clientes de que las facturas de pago que están recibiendo realmente provienen de usted. Si no hay firma digital, entonces no deben entretenerlos por muy realistas que parezcan.
Para el esquema de facturas falsas, puede establecer un sistema con sus proveedores o proveedores de servicios en el que solo debe comunicarse mediante correo electrónico cifrado y los documentos utilizados en sus transacciones deben tener una firma digital validada y a prueba de manipulaciones. En cuanto a sus empleados, nuevamente se les puede capacitar para examinar los documentos entrantes y responder solo a los que están firmados digitalmente.
Ve a esta página para ver cual S/MIME y el certificado de firma de documentos de SSL.com se adapta mejor a sus necesidades.
